Definition

Proxy Firewall

Eine Proxy Firewall ist ein Security-System für das Netzwerk. Es schützt die Ressourcen im Netzwerk, indem Kommunikation auf der Anwendungsschicht gefiltert wird. Man bezeichnet eine Proxy Firewall auch als Application Firewall oder Gateway Firewall.

Genau wie ein Proxy-Server oder Cache-Server agiert eine Proxy Firewall zwischen den sich im eigenen Haus befindlichen Clients und den Servern im Internet. All diese Komponenten fangen Anfragen zum und Antworten aus dem Internet ab und filtern sie. Der Unterschied ist, dass eine Proxy Firewall auch eingehenden Traffic überwacht, der auf Layer 7 (der Anwendungsschicht) stattfindet. Dazu gehören unter anderem HTTP und FTP. Für eine Bestimmung, welche Form an Traffic erlaubt ist und welche nicht, benutzt eine Proxy Firewall zustandsbezogene Prüfungen (Stateful Inspection) und Deep Packet Inspection. Auf diese Weise wird eingehender Traffic auf Angriffe untersucht.

Proxy Firewalls gelten als die sicherste Form unter den Firewalls, weil sie direkten Netzwerkkontakt mit anderen Systemen unterbinden. Eine Proxy Firewall besitzt seine eigene IP-Adresse und eine außenstehende Netzwerkverbindung wird Pakete niemals direkt vom sendenden Netzwerk erhalten. Eine Proxy Firewall kann nicht nur die Netzwerkadresse und die Port-Nummer, sondern das komplette Paket untersuchen. Aus diesem Grund besitzt die Security-Komponente umfassende Möglichkeiten für das Logging. Für Security-Administratoren ist das eine wertvolle Quelle, wenn sie Sicherheitsvorfälle untersuchen wollen. Man schreibt Marcus Ranum die Erfindung der Proxy Firewall zu. Laut seinen Aussagen ist es das Ziel des Proxy-Ansatzes, eine einzige Stelle zu haben, die es auf Security bedachten Programmierern gestattet, den Bedrohungsgrad zu bewerten. Dieser wird durch Anwendungsprotokolle repräsentiert, die Fehlererkennung, Entdeckung von Angriffen und Gültigkeitsprüfung beinhalten.

Die von Proxy Firewalls zusätzlich gebotene Sicherheit hat allerdings auch Nachteile. Weil eine Proxy Firewall für jedes ausgehende und eintreffende Paket eine zusätzliche Verbindung etabliert, könnte dieser Umstand zu einem Flaschenhals werden. Das wirkt sich möglicherweise negativ auf die Performance aus oder es wird zu einer einzelnen Fehlerstelle (Single Point of Failure / SPoF). Hinzu kommt noch, dass Proxy Firewalls unter Umständen nur populäre Netzwerkprotokolle beherrschen. Somit ist eine Unterstützung auf einige Anwendungen begrenzt.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Diese Definition wurde zuletzt im März 2016 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit